Le bouleversement de 2020 a inclus le passage imprévu au travail à distance à temps plein pour des millions de personnes dans le monde. Cette transformation a ouvert la porte aux appareils et systèmes IoT grand public à la maison pour empiéter sur le périmètre de sécurité technologique de nombreuses entreprises et organisations.
Les appareils informatiques interdépendants, les machines mécaniques et numériques connectées et les personnes transfèrent des données sur un réseau sans interaction humaine, et cela ne va pas disparaître. Votre entreprise sait-elle comment protéger ses appareils IoT contre les compromissions ?
De nombreux chefs d’entreprise supposent que l’IoT est sécurisé par conception, mais ce n’est pas le cas. L’IoT est différent de la plupart des autres technologies car il est toujours actif, toujours à l’écoute. Plus important encore, la connexion de l’IoT à Internet facilite le piratage à un moment donné. Pour protéger votre organisation, un examen approfondi de la sécurité et de la sûreté des appareils IoT est nécessaire.
Il est essentiel de réaliser que la sécurité de l’IoT n’est pas seulement l’affaire de ceux qui se concentrent sur la technologie ; il doit être priorisé par tout le monde dans toutes les organisations.
Les chefs d’entreprise qui cherchent à créer une culture de sécurité IoT peuvent suivre quelques bonnes pratiques pour parvenir à l’alignement de la sécurité interne qu’exigent ces appareils omniprésents. Tout va bien si vous ne savez pas par où commencer : l’IoT évolue si vite qu’il est impossible de créer un logiciel antivirus pour bloquer ses menaces. Il n’y a pas non plus assez d’informations disponibles, même pour les professionnels de la sécurité. Quoi qu’il en soit, voici des moyens pragmatiques pour commencer dès maintenant.
Bonnes pratiques de sécurité IoT
Assurer la surveillance organisationnelle de tous les appareils IoT
Il est primordial que les organisations comprennent le risque associé aux appareils IoT et déterminent qui au sein de l’organisation – que ce soit OT, IT ou les deux – est responsable de la sécurité et de la surveillance. En fin de compte, pour quiconque supervise la sécurité de l’IoT , il est essentiel de créer et de favoriser une posture de sécurité holistique qui fait partie de la culture organisationnelle. Le périmètre de sécurité n’est plus seulement votre bâtiment et votre réseau ; les employés introduisent l’IoT grand public dans le domaine des affaires, en particulier parce que tant de personnes travaillent à distance depuis un an et demi.
Mettez en place un plan pour vous préparer ou résoudre les 10 principaux problèmes de sécurité
Les tests IoT de base doivent être basés sur des critères internationalement reconnus, tels que la liste Open Web Application Security Project des 10 principaux risques de sécurité les plus critiques pour les appareils IoT . Cette liste aide les développeurs, les fabricants, les entreprises et les consommateurs à mieux comprendre les problèmes de sécurité associés à l’IoT et aide les utilisateurs, quel que soit le contexte, à prendre de meilleures décisions en matière de sécurité lors de la création, du déploiement ou de l’évaluation des technologies IoT.
Savez-vous dans quel ordre ces menaces se classent pour votre organisation, ou où vous avez le plus de vulnérabilités ?
- Mots de passe faibles, devinables ou codés en dur
- Services ou protocoles réseau non sécurisés
- Interfaces d’accès non sécurisées
- Utilisation de composants non sécurisés ou obsolètes
- Absence de mécanisme de mise à jour sécurisé
- Protection de la vie privée insuffisante
- Transfert et stockage de données non sécurisés
- Manque de durcissement physique
- Configurabilité de sécurité insuffisante
- Manque de gestion des appareils
Comme le montre la réglementation émergente du gouvernement britannique sur l’IoT, des mots de passe triés et sécurisés, la divulgation des vulnérabilités et une assistance logicielle informée peuvent atténuer les risques auxquels votre organisation est confrontée.
Cartographiez et comprenez votre environnement
Si vous n’utilisez pas la technologie pour cartographier et comprendre votre réseau, c’est le moment de commencer. Vous serez choqué de découvrir ce qu’il y a dans votre environnement si vous n’utilisez pas déjà un certain type de technologie pour déterminer les éléments et les influences.
Se soumettre à une évaluation de l’état actuel de votre sécurité IoT et insister sur des produits et des normes certifiés est idéal pour protéger votre entreprise. Lancez-vous avec une formation complète si vous ne pouvez pas vous permettre immédiatement un audit externe et une migration vers des produits certifiés.
Il est également essentiel de mettre en place les bonnes équipes, à la fois sur le plan informatique et de la sécurité, ainsi que pour l’OT. Une fois cela accompli, votre organisation peut constater que bon nombre des contrôles de sécurité IoT les plus efficaces ne sont pas trop complexes à mettre en place ou à exécuter.
En conclusion sur l’IoT
Comprenez qu’un appareil IoT n’est jamais entièrement sécurisé. En reconnaissant cela, assurez-vous que le produit est utilisé pour l’usage auquel il est destiné et que les contrôles de sécurité appropriés sont en place. Les avancées et les avantages de la transformation numérique s’accompagnent de la lourde tâche de s’assurer que votre organisation a installé toutes les garanties possibles.
Les organisations doivent utiliser des cadres de confiance et des normes de l’industrie, telles que ISO/IEC 30141:2018 pour les meilleures pratiques de l’industrie, NIST 8259 de l’US National Institute of Standards and Technology pour les fabricants d’appareils ou la norme de vérification de la sécurité des applications de l’Open Web Application Security Project pour tester le Web. contrôles de sécurité des applications.